RADIUS

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 10. juni 2018; checks kræver 15 redigeringer .

RADIUS ( Eng. Remote Authentication in Dial-In User Service ) er en protokol til implementering af autentificering, autorisation og indsamling af information om de anvendte ressourcer, designet til at overføre information mellem den centrale platform og udstyr. Denne protokol blev brugt til faktureringssystemet for brugte ressourcer af en specifik bruger/abonnent. Den centrale platform og udstyr for opkaldsadgang (netværksadgangsserver (NAS, må ikke forveksles med lagring) med et automatiseret servicekonteringssystem ( fakturering )), RADIUS bruges som en AAA-protokol :

engelsk Autentificering er en proces, der giver dig mulighed for at autentificere (autentificere) et emne ved hans identifikationsdata, for eksempel ved login (brugernavn, telefonnummer osv.) og adgangskode.
engelsk Autorisation er en proces, der bestemmer autoriteten for et identificeret subjekt til at få adgang til bestemte objekter eller tjenester.
engelsk Regnskab er en proces, der giver dig mulighed for at indsamle information (regnskabsdata) om de anvendte ressourcer. De primære data (det vil sige traditionelt transmitteret over RADIUS-protokollen) er mængden af indgående og udgående trafik: i bytes/oktetter (senere i gigabyte). Protokollen giver dog mulighed for overførsel af data af enhver type, som implementeres gennem VSA ( Vendor Specific Attributes ) .

Historie

RADIUS-protokollen blev udviklet af Carl Rigney hos Livingston Enterprises til deres Network Access Server PortMaster-serie til internettet og blev senere udgivet i 1997 som RFC 2058 og RFC 2059 (nuværende versioner af RFC 2865 og RFC 2866 ). I øjeblikket er der flere kommercielle og frit distribuerede RADIUS-servere. De er noget forskellige fra hinanden i deres muligheder, men de fleste understøtter brugerlister i tekstfiler, LDAP og forskellige databaser. Brugerkonti kan gemmes i tekstfiler, forskellige databaser eller på eksterne servere. Ofte bruges SNMP til fjernovervågning . Der er proxyservere til RADIUS, som forenkler centraliseret administration og/eller muliggør internetroaming . De kan ændre indholdet af en RADIUS-pakke på farten (af sikkerhedsmæssige årsager eller for at udføre konvertering mellem dialekter). Populariteten af RADIUS-protokollen skyldes i høj grad: åbenhed over for at fylde med ny funktionalitet og samtidig opretholde ydeevne med aldrende udstyr, ekstrem høj reaktivitet ved behandling af anmodninger på grund af brugen af UDP som pakketransport, samt en velparalleliseret anmodningsbehandling algoritme; evnen til at fungere i klynge (Cluster) arkitekturer (for eksempel OpenVMS ) og multiprocessor ( SMP ) platforme ( DEC Alpha , HP Integrity ) - både for at forbedre ydeevnen og for at implementere fejltolerance.

I øjeblikket (siden midten af 2003) er DIAMETER -protokollen (nuværende versioner af RFC 3588 og RFC 3589 ) ved at blive udviklet til at erstatte RADIUS ved at tilvejebringe en migreringsmekanisme.

Funktioner

Som en del af et faktureringssystem er en RADIUS-server en grænseflade til interaktion med et telekommunikationssystem eller en server (for eksempel en router eller switch ) og kan implementere følgende tjenester til et sådant system:

Generelt

Oprettelse og opbevaring af brugerkonti (abonnenter)
Bruger (abonnent) kontostyring fra en personlig grænseflade (for eksempel et webkontor)
Oprettelse af adgangskort (login eller PIN-kode ) til levering af tjenester med en vis gyldighedsgrænse (opkaldsinternetadgang og kort IP-telefoni)
Manuel og automatisk blokering af en abonnents konto, når et specificeret kriterium eller grænse er nået
Indsamling og analyse af statistisk information om brugersessioner og hele det servicerede system (inklusive CDR )
Udarbejdelse af rapporter om forskellige statistiske parametre
Opret, print og send fakturaer til betaling
Godkendelse af alle anmodninger til RADIUS-serveren fra det serverede system (hemmeligt felt)

Godkendelse

Verifikation af brugerlegitimationsoplysninger (inklusive krypterede) efter anmodning fra det servicerede system

Autorisation

Rapportering af en lockout-status for en brugerkonto
Udstedelse af tilladelse til en bestemt ydelse
Sortering af data baseret på analyse af statistisk information (f.eks. dynamisk routing) og udstedelse af et sorteringsresultat efter anmodning

Regnskab

Online bogføring af abonnentmidler: meddelelser om begyndelsen og slutningen af sessionen fra det servicerede system
Midlertidige meddelelser om fortsættelse af sessionen (midlertidige pakker)
Automatisk tvungen afslutning af sessionen på det serverede system i tjenesten (pakke med afbrydelse)
BOOT-meddelelse er en speciel pakke, der sendes af telekommunikationssystemet til RADIUS-serveren, når systemet startes (genstartes), for at tvinge afslutningen af alle sessioner

I øjeblikket bruges RADIUS-protokollen til at få adgang til virtuelle private netværk ( VPN ), trådløse (Wi-Fi) adgangspunkter, Ethernet-switche, DSL og andre typer netværksadgang. Takket være dens åbenhed, lette implementering og løbende forbedring er RADIUS-protokollen nu de facto-standarden for fjerngodkendelse.

Godkendelses- og godkendelsesprocessen

For at bestemme, hvordan RADIUS-protokollen fungerer, skal du overveje figuren ovenfor.[ hvor? ] . Bærbare computere og IP-telefoner repræsenterer brugerenheder, hvorfra det er nødvendigt at udføre godkendelse og autorisation på netværksadgangsservere (NAS): Wi-Fi-adgangspunkt, router, VPN-server og IP PBX. Figuren viser flere af de mulige muligheder for NAS, der er andre netværksadgangsenheder. RADIUS er implementeret som en grænseflade mellem en NAS (RADIUS-klient) og en RADIUS-server, software installeret på en computer (server) eller anden specialiseret enhed. Serveren interagerer med brugerens enhed ikke direkte, men kun via en netværksadgangsserver.

Brugeren sender en anmodning til en netværksserver om at få adgang til en specifik netværksressource ved hjælp af et adgangscertifikat. Certifikatet sendes til serveren via en link-layer netværksprotokol (f.eks. PPP i tilfælde af opkaldsadgang, DSL i tilfælde af brug af passende modemer osv.). NAS'en sender på sin side en adgangsanmodningsmeddelelse til RADIUS-serveren (RADIUS Access Request). Anmodningen omfatter adgangscertifikater i form af et brugernavn og adgangskode eller et sikkerhedscertifikat, som modtages fra brugeren. Anmodningen kan indeholde yderligere parametre: netværksadressen på brugerens enhed, telefonnummer, information om den fysiske adresse, hvorfra brugeren interagerer med NAS'en.

Serveren kontrollerer oplysningerne for korrekthed ved hjælp af godkendelsesskemaer:

PAP (Password Authentication Protocol) ( RFC 1334 ) er en simpel autentificeringsprotokol, der bruges til at godkende en bruger mod en netværksadgangsserver (NAS). PAP bruges af PPP-protokollen. Næsten alle adgangsservere understøtter PAP. PAP transmitterer en krypteret adgangskode over netværket, og når trafikken opsnappes, kan adgangskoden derfor blive udsat for et brute-force-angreb. Derfor bruges PAP normalt, når serveren ikke understøtter sikre protokoller som CHAP, EAP og lignende.
CHAP (Challenge Handshake Authentication Protocol) ( RFC 1994 ) er en meget brugt autentificeringsalgoritme, der sørger for transmission af ikke selve brugerens adgangskode, men indirekte information om det. Med CHAP sender fjernadgangsserveren en forespørgselsstreng til klienten. Baseret på denne streng og brugerens adgangskode beregner klienten en MD5-hash og sender den til serveren. Hash-funktionen er en envejs (irreversibel) krypteringsalgoritme, da hash-værdien for en blok af data er let at beregne, og det er umuligt at bestemme den oprindelige blok fra hash-koden ud fra et matematisk synspunkt på en acceptabel måde. tid. Serveren, som har adgang til brugerens adgangskode, udfører samme beregning og sammenligner resultatet med hashkoden modtaget fra klienten. Hvis der er et match, anses fjernadgangsklientens legitimationsoplysninger for autentiske.
MD5 (Message-Digest algorithm 5) ( RFC 1321 ) er en meget brugt kryptografisk funktion med en 128 bit hash. Der er fundet en række sårbarheder i algoritmen, hvorfor det amerikanske Department of Homeland Security ikke anbefaler brugen af MD5 i fremtiden, og siden 2010 er USA forpligtet til at skifte til SHA-2 algoritmefamilien for de fleste regeringer. applikationer. .
EAP (Extensible Authentication Protocol) ( RFC 3748 ) giver dig mulighed for at autentificere opkaldsforbindelser ved hjælp af forskellige godkendelsesmekanismer. Det nøjagtige godkendelsesskema forhandles mellem fjernadgangsklienten og godkendelsesserveren (som kan være en fjernadgangsserver eller en RADIUS-server). Routing og fjernadgang inkluderer understøttelse af EAP-TLS og MD5-Challenge som standard. Tilslutning af andre EAP-moduler til en server ved hjælp af Routing og Remote Access giver understøttelse af andre EAP-metoder. EAP-protokollen tillader fri dialog mellem fjernadgangsklienten og godkendelsessystemet. En sådan dialog består af anmodninger fra autentificeringssystemet om den information, det har brug for, og svar fra fjernadgangsklienten. For eksempel, når EAP bruges med adgangskodegeneratorer, kan serveren, der udfører godkendelsen, separat forespørge fjernadgangsklienten om et brugernavn, ID og adgangskode. Efter hver sådan anmodning er besvaret, gennemgår fjernadgangsklienten et vist niveau af autentificering. Når alle anmodninger er besvaret tilfredsstillende, fuldføres klientgodkendelsen med fjernadgang.

Godkendelsesskemaer, der bruger EAP-protokollen, kaldes EAP-typer. For vellykket godkendelse skal fjernadgangsklienten og godkendelsesserveren understøtte den samme EAP-type.

Lad os nu vende tilbage til RADIUS-serveren, som kontrollerer informationen modtaget fra NAS'en. Serveren kontrollerer brugerens identitet samt rigtigheden af yderligere oplysninger, der kan være indeholdt i anmodningen: netværksadressen på brugerens enhed, telefonnummer, kontostatus, hans privilegier ved adgang til den anmodede netværksressource. Baseret på resultaterne af RADIUS-kontrollen sender serveren en af tre typer svar til NAS'en:

Access-Reject angiver, at den givne brugeranmodning er ugyldig. Serveren KAN eventuelt inkludere en tekstmeddelelse i Access-Reject, som kan sendes af klienten til brugeren. Ingen andre attributter (udover Proxy-State) er tilladt i en Access-Reject.
Adgangs-udfordring . Anmodning om yderligere oplysninger fra brugeren, for eksempel en anden adgangskode, pinkode, kortnummer osv. Dette svar bruges også til en mere komplet autentificeringssamtale, hvor der etableres en sikkerhedstunnel mellem brugerens enhed og RADIUS-serveren, så adgangscertifikater er skjult for NAS'en.
AccessAccepter . Brugeren har adgang. Da brugeren er autentificeret, søger RADIUS-serveren for autorisation til at bruge de ressourcer, som brugeren anmoder om. For eksempel kan en bruger få adgang via et trådløst netværk, men nægtet adgang til et VPN-netværk.Således kan driften af RADIUS-protokollen generelt repræsenteres som vist i nedenstående tabel.

Standarder

Defineret i

RFC 2865 Remote Authentication Dial In User Service (RADIUS)
RFC 2866 RADIUS Regnskab

Også relateret til

RFC 2548 Microsoft-leverandørspecifikke RADIUS-attributter
RFC 2607 Proxy Chaining og politikimplementering i roaming
RFC 2618 RADIUS Authentication Client MIB
RFC 2619 RADIUS Authentication Server MIB
RFC 2620 RADIUS Regnskabsklient MIB
RFC 2621 RADIUS Regnskabsserver MIB
RFC 2809 Implementering af L2TP obligatorisk tunneling via RADIUS
RFC 2867 RADIUS Regnskabsændringer til understøttelse af tunnelprotokol
RFC 2868 RADIUS-attributter til understøttelse af tunnelprotokol
RFC 2869 RADIUS-udvidelser
Krav til RFC 2882 netværksadgangsservere: Udvidede RADIUS-praksis
RFC 3162 RADIUS og IPv6
RFC 3575 IANA Overvejelser for RADIUS
RFC 3576 Dynamic Authorization Extensions til RADIUS
RFC 4672 RADIUS Dynamic Authorization Client MIB
RFC 4673 RADIUS Dynamic Authorization Server MIB
RFC 3579 RADIUS Understøttelse af EAP
Retningslinjer for brug af RFC 3580 IEEE 802.1X RADIUS
RFC 4014 RADIUS Attributter underoption for DHCP Relay Agent Information Option

Se også

Noter

Grundlæggende TCP / IP-protokoller efter lag af OSI-modellen
Fysisk	ethernet RS-232 EIA-422 RS-449 RS-485
kanaliseret	ethernet PPPoE OPP L2F 802.11 WiFi 802.16 WiFi token ring ARCNET FDDI HDLC GLIDE ATM KAN DTM X.25 ramme relæ IEEE 802.1aq SMDS STP ERPS ARP
netværk	IPv4 IPv6 IPsec ICMP IGMP RARP RIP2 OSPF EIGRP GRE IPX
Transportere	TCP ( krypt ) UDP SCTP DCCP RDP/ RUDP RTP SPX TLS 1.3
session	ADSP H.245 iSNS NetBIOS PAP RPC L2TP PPTP RTCP SMPP SCP ZIP SDP
Repræsentation	XDR SSL TLS
Anvendt	BGP HTTP ( S ) DHCP IRC gopher finger SNMP DNS ( SEC ) NNTP XMPP nippe til IPP NTP SNTP E-mail SMTP POP3 IMAP4 _ Filoverførsel FTP TFTP SFTP FTPS webdav SMB Fjernadgang rlogin telnet SSH RDP
Andet anvendt	bitcoin OSCAR MTProto Multicast FTP Multisource FTP bittorrent Gnutella Skype
Liste over TCP- og UDP-porte